Apache shiro—cas + shiro配置说明

最新推荐文章于 2023-09-16 23:01:19 发布
最新推荐文章于 2023-09-16 23:01:19 发布
阅读量306 收藏
点赞数
文章标签: java web.xml
原文链接:https://my.oschina.net/u/3621003/blog/1490212
版权

shiro在1.2版本之后加入了对cas的支持

SSO的概念

    单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO就是一次登录,就可以访问多个互相信任的应用。而cas只是这种解决方案的一种实现。
    这么说吧:大家应该都去过游乐场,通常会卖通票。就是买一张票,就可以玩游乐场中的所有项目,而不用玩一项买一项的票。这就是单点登录最直白的理解了:“通票”。

原理:

图里的票据指的是,第三步用户的验证信息通过验证后,cas服务器随机生成的一个唯一的身份标识。这个票据会被存储在浏览器的cookie中。注:这里只是直白的说法,后面会有博客详细这部分的过程。
    下图,表明的是一个web应用的登录过程,这时候用户访问第二个应用时可以直接拿浏览器中的cookie去cas认证,因为应用1已经证过了。因此用户访问第二个应用时就不需要重新登陆了。

Spring-shiro.xml的配置:

    上面大概的说了一下,cas的验证原理。下面就看看cas和shiro集成的配置。这个是基于前一篇博客的,如果不记得可以翻看前一篇博客。一下配置都已本地为例:
    首先,引入Jar包。shiro-cas-1.2.3.jar、cas-client-core-3.2.0.jar

    cas.server.url=http://125.223.29.88:8087/cas
    cas.project.url=http://127.0.0.1:8889/PipeRackMonitor

    然后,在spring - shiro.xml修改如下配置:

  • 第一:shiroSecurityFilter修改为: 
    <bean name="shiroFilterChainDefinitions" class="java.lang.String">
		<constructor-arg>
			<value>
				/static/** = anon
				/userfiles/** = anon
				${adminPath}/cas = cas
				${adminPath}/login = authc
				${adminPath}/logout = logout
				${adminPath}/** = user
				/act/editor/** = user
				/ReportServer/** = user
			</value>
		</constructor-arg>
	</bean>
	 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
	 	<property name="loginUrl" value="${cas.server.url}?service=${cas.project.url}${adminPath}/cas" /> 
		<property name="successUrl" value="${adminPath}?login" />
		<property name="filters">
            <map>
                <entry key="cas" value-ref="casFilter"/>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </map>
        </property>
		<property name="filterChainDefinitions">
			<ref bean="shiroFilterChainDefinitions"/>
		</property>
</bean>

     

  • 第二:shiroRealm的配置中添加两个属性,分别为cas服务器的登录地址和cas客户端的入口即会被拦截的地址: 
    <bean id="casRealm" class="com.thinkgem.jeesite.modules.sys.security.MyCasRealm">
        <property name="casServerUrlPrefix" value="${cas.server.url}"/>
        客户端的回调地址设置,必须和下面的shiro-cas过滤器拦截的地址一致 
        <property name="casService" value="${cas.project.url}${adminPath}/cas"/>
</bean>

    第三:创建MyCasRealm:

    import java.util.Collection;
import java.util.List;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.cas.CasAuthenticationException;
import org.apache.shiro.cas.CasRealm;
import org.apache.shiro.cas.CasToken;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.jasig.cas.client.authentication.AttributePrincipal;
import org.jasig.cas.client.validation.Assertion;
import org.jasig.cas.client.validation.TicketValidationException;
import org.jasig.cas.client.validation.TicketValidator;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.thinkgem.jeesite.common.config.Global;
import com.thinkgem.jeesite.common.utils.SpringContextHolder;
import com.thinkgem.jeesite.common.web.Servlets;
import com.thinkgem.jeesite.modules.sys.entity.Menu;
import com.thinkgem.jeesite.modules.sys.entity.Role;
import com.thinkgem.jeesite.modules.sys.entity.User;
import com.thinkgem.jeesite.modules.sys.security.SystemAuthorizingRealm.Principal;
import com.thinkgem.jeesite.modules.sys.service.SystemService;
import com.thinkgem.jeesite.modules.sys.utils.LogUtils;
import com.thinkgem.jeesite.modules.sys.utils.UserUtils;
public class MyCasRealm extends CasRealm{
	 private Logger logger = LoggerFactory.getLogger(getClass());
	    private SystemService systemService;

	    @Override
	    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//	      return super.doGetAuthenticationInfo(token);
	        CasToken casToken = (CasToken) token;
	        if (token == null) {
	            return null;
	        }
	        //获取ticket
	        String ticket = (String)casToken.getCredentials();
	        if (!org.apache.shiro.util.StringUtils.hasText(ticket)) {
	            return null;
	        }

	        TicketValidator ticketValidator = ensureTicketValidator();

	        try {
	            //回传ticket到服务端验证,验证通过就进入下一行,可以获取登录后的相关信息,否则直接抛异常,即验证不通过
	            Assertion casAssertion = ticketValidator.validate(ticket, getCasService());
	            AttributePrincipal casPrincipal = casAssertion.getPrincipal();
	            String userId = casPrincipal.getName();
	            User user = getSystemService().getUserByLoginName(userId.split("&&")[1]);
	            if (user != null) {
	                Principal p = new  Principal(user, false);
	                PrincipalCollection principalCollection = new SimplePrincipalCollection(p, getName());
	                return new SimpleAuthenticationInfo(principalCollection, ticket);
	            } else {
	                return null;
	            }

	        } catch (TicketValidationException e) { 
	            throw new CasAuthenticationException("Unable to validate ticket [" + ticket + "]", e);
	        }

	    }

	    @Override
	    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	        Principal principal = (Principal) getAvailablePrincipal(principals);
	        // 获取当前已登录的用户
	        if (!Global.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){
	            Collection<Session> sessions = getSystemService().getSessionDao().getActiveSessions(true, principal, UserUtils.getSession());
	            if (sessions.size() > 0){
	                // 如果是登录进来的,则踢出已在线用户
	                if (UserUtils.getSubject().isAuthenticated()){
	                    for (Session session : sessions){
	                        getSystemService().getSessionDao().delete(session);
	                    }
	                }
	                // 记住我进来的,并且当前用户已登录,则退出当前用户提示信息。
	                else{
	                    UserUtils.getSubject().logout();
	                    throw new AuthenticationException("msg:账号已在其它地方登录,请重新登录。");
	                }
	            }
	        }
	        User user = getSystemService().getUserByLoginName(principal.getLoginName());
	        if (user != null) {
	            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
	            List<Menu> list = UserUtils.getMenuList();
	            for (Menu menu : list){
	                if (StringUtils.isNotBlank(menu.getPermission())){
	                    // 添加基于Permission的权限信息
	                    for (String permission : StringUtils.split(menu.getPermission(),",")){
	                        info.addStringPermission(permission);
	                    }
	                }
	            }
	            // 添加用户权限
	            info.addStringPermission("user");
	            // 添加用户角色信息
	            for (Role role : user.getRoleList()){
	                info.addRole(role.getEnname());
	            }
	            // 更新登录IP和时间
	            getSystemService().updateUserLoginInfo(user);
	            // 记录登录日志
	            LogUtils.saveLog(Servlets.getRequest(), "系统登录");
	            return info;
	        } else {
	            return null;
	        }
	    }

	    /**
	     * 获取系统业务对象
	     */
	    public SystemService getSystemService() {
	        if (systemService == null){
	            systemService = SpringContextHolder.getBean(SystemService.class);
	        }
	        return systemService;
	    }
}

    接着:Web.xml的配置,加入多点登出的配置,这里主要是从cas服务器上清除用户的登录信息:

    <listener>
	<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<filter>
	<filter-name>singleSignOutFilter</filter-name>
	<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>singleSignOutFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

    退出的请求地址应该为:cas服务器注销地址+web应用退出地址作为参数。

    
<a href="${cas.server.url}/logout?service=${cas.project.url}/logout">退出</a>

     

 

转载于:https://my.oschina.net/u/3621003/blog/1490212

chise6554
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAS+Shiro实现权限管理
下半夜的风
11-15 4013
本次Demo直接使用 Shiro——实现权限控制demo思路(包含自定义标签hasAnyPermission)中的Shiro权限管理的Demo,可点击链接前往查看:https://blog.csdn.net/fancheng614/article/details/83718096 在使用CAS+Shiro实现认证授权时,首先得在Shiro的demo中加入jar包:cas-client-core-...
Cas整合Shiro
待定
04-19 410
1.简介 CAS:Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法。 ShiroApache Shiro是一个Java安全框架,可以帮助我们完成认证、授权、会话管理、加密等,并且提供与web集成、缓存、rememberMed等功能。 Shiro支持与CAS进行整合使用. 2.整合步骤 2.1.新建工程 2.2.导入项目中需要的依赖 <?xml ve...
基于SpringbootShiro实现的CAS单点登录
最新发布
神尐破
09-16 2671
单点登录(Single Sign On,SSO)是一种登录管理机制,主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。常见的例子就是,当我们在淘宝网上登录了之后,如果再访问天猫网的话是不需要再次登录的。
cas+shiro 整合
feicklpp的专栏
06-23 288
Cas环境准备 1. 安装jdk,搭建tomcat,从cas官网下载cas服务端(下载地址http://downloads.jasig.org/cas/cas-server-3.5.2-release.zip) 2. 设置证书 在cas服务端的机器上,通过jdk自带的keytool生成证书,如下: [code="java"]keytool -genkey -alias caskey -ke...
springboot+shiro+cas+redis+mybatis+thymeleaf 集成开发框架
01-30
由于项目需要从网上搜集的相关的集成框架,很多都是部分集成,一直没有找到整个流程全部集成好的,所以将集成好的框架分享出来供大家学习。 主要实现SSO、后台RBAC角色...下载后需要自行修改配置,项目包内带sql脚本
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
然后,需要配置 Shiro+Cas,包括配置 Shiro 的SecurityManager、CasFilter 和 EhCacheManager 等。 配置 Shiro+Cas 配置 Shiro+Cas 需要在 Spring Boot 应用程序中添加相关配置类,例如 ShiroCasConfig。该类负责...
cas +shiro集成
08-01
CAS(Central Authentication Service)和Apache Shiro都是在Java领域中广泛使用的安全框架,它们各自有着不同的侧重点。CAS主要用于集中式身份验证,而Shiro则更专注于应用内部的安全管理,如授权、会话管理和安全...
cas+shiro客户端源码
02-17
Shiro则是Apache组织的一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能。当将两者结合使用时,可以构建出一套完整的客户端身份验证和权限控制解决方案。本篇将深入探讨CAS+Shiro客户端源码中...
单点登陆(sso+shiro+cas
04-11
6. **配置Word文档**:提供的Word文档可能是SSO配置和项目启动的指南,包括环境变量设置、数据库连接信息、CAS服务器和Shiro的相关配置项等。遵循文档中的步骤,可以帮助开发者快速搭建和运行项目。 7. **测试和...
shiro-cas-1.2.3-API文档-中英对照版.zip
07-13
赠送jar包:shiro-cas-1.2.3.jar; 赠送原API文档:shiro-cas-1.2.3-javadoc.jar; 赠送源代码:shiro-cas-1.2.3-sources.jar; 赠送Maven依赖信息文件:shiro-cas-1.2.3.pom; 包含翻译后的API文档:shiro-cas-1.2.3-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.shiro:shiro-cas:1.2.3; 标签:apacheshirocas、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
Apache Shiro 集成-Cas
热门推荐
王浩的技术博客
04-19 3万+
Shiro集成CAS是在1.2版本里新增的功能。 Shiro-cas模块将应用作为CAS客户端与CAS SSO服务器一起保护web应用。 CAS协议的一个基本理解: 1. 如果你想访问一个被CAS客户端保护的应用,而你还没有进行认证。你讲被重定向到CAS服务端的登录页面。在应用中你需要配置CAS的登录url地址。 http://application.examples.co
CAS 单用户登录(基于CAS + Shiro整合)
qq_34125349的博客
05-10 1949
    上一篇博文提到的是,单独使用CAS实现单用户操作功能,但是CASShiro集成在一起的时候,原来的方法就会失效;所以该博文基于CAS + Shiro 实现单用户操作功能;    该博文配置环境为:CAS = 4.1.2; shiro = 1.2.2; 经过跟踪调查,shiro并没有对单点登出进行支持。也就是说需要完全自己实现。创建一个package,在里面创建下列几个类:单点登出...
cas+shiro子系统ST不符合目标服务的原因
为时已晚
05-28 2610
在出现这和错误之后,首先思考一下为什么会出现这个错误。ST不符合目标服务,说明在访问子系统的时候,cas server已经生成了service ticket给这个系统,当客户端拿着这张ST去服务端校验的时候除了问题。但是这张ST是server给你的,为什么在拿去校验的时候为什么会不符合目标服务呢,应该就是client配置子系统路径出现问题了,和实际的部署访问路径不一样。&lt;filter-nam...
《权限系列shiro+cas》----Cas服务端的配置
zhoukun@Fly
06-27 3250
前言 小编用的casServer版本是4.0的,在4.0之后cas做了升级,据说变化很大,大家如果有兴趣可以到cas的官网查看。下面的所有操作都时在源码中cas文件夹中操作的。 源码地址 点击这里,去小编的GitHub上下载源码 去掉Https协议 小编做的项目是企业内部使用的,如果此项目放到外网上去访问,建议不要去掉https协议。下面是去掉https协议的教程。 到weba
第三部分:shiro集成spring使用cas单点登录配置
zh350229319的专栏
01-13 1万+
第三部分 shiro集成spring使用cas单点登录配置(一)shiro单点登录  配置的主要目的在于将登录页面改为${cas.server}?service=${cas.client}/login的形式,service后面为本地的回调地址。在cas服务器端登录成功后,会生成ticket返回给客户端,客户端的shiro使用ticket最为凭据保存起来。      shiro配置单点登陆后,在注
在 Web 项目中应用 Apache Shiro 开源权限框架
百威
03-28 233
Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli...
cas+tomcat+shiro实现单点登录-4-Apache Shiro 集成Cas作为cas client端实现
大JAVA解决方案
07-25 1204
cas+tomcat+shiro实现单点登录-4-Apache Shiro 集成Cas作为cas client端实现 目录 1.tomcat添加https安全协议 2.下载cas server端部署到tomcat上 3.CAS服务器深入配置(连接MYSQL) 4.Apache Shiro 集成Cas作为cas client端实现 Apache Shiro 集成Cas作为cas clie...
Apache Shiro 1.2.x 参考手册1
08-04
介绍- 5 -1. Introduction 介绍2. Tutorial 教程3. Architecture 架构4. Configuration 配置I. O

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值